최초 접근 브로커 ‘IAB’ 활동 증가로 랜섬웨어 공격 성황
랜섬웨어 공격 수법, 대기업 타깃 공격과 대규모 공격으로 분화
[보안뉴스 박은주 기자] 국가, 공공기관, 기업, 개인에게 가장 큰 보안위협이 되고 있는 랜섬웨어 그룹은 각 분야의 전문인력을 모집해 조직을 체계화하고 있다. 랜섬웨어 공격을 총괄하는 총책을 비롯해 개발자, 유지·보수 인력, 디자이너 등 업무를 구분 지어 랜섬웨어 공격의 능률을 올리고 있다. 랜섬웨어 공격을 진행하는 과정에서도 업무 분담이 이뤄진다. 최근 랜섬웨어 공격 초기에 네트워크로 진입하는 접근 권한을 탈취하는 공격자들이 두각을 나타내고 있다. 이들을 최초 접근 브로커 ‘IAB(Intial Access Broker)’라 부른다.
![[보안뉴스 / 8.4.] 랜섬웨어 조직에 최초 접근 권한 판매하는 브로커 ‘IAB’ 활개](http://www.boannews.com/media/upFiles2/2023/07/1042747505_8392.jpg)
[이미지=gettyimagesbank]
IAB는 SSH, VPN, RDP 등 네트워크 접근 권한이나 내부 인프라의 취약점을 찾아 침투 경로를 제공하는 역할을 한다. 오직 침투 경로를 제공할 뿐, 랜섬웨어 공격이나 협상에 관여하지 않는다. 탈취한 경로를 다크웹에 판매하거나 랜섬웨어 그룹으로부터 수주를 받기도 한다. 초기 침투 과정에 많은 시간과 노력을 기울여 왔던 랜섬웨어 조직이 수고로움을 줄이기 위해 일종의 ‘외주’를 맡기는 것이다.
기존 랜섬웨어 그룹은 하나의 타깃을 특정 짓고 공격을 시도해왔다. 그러나 서비스형 랜섬웨어 공격이 성행하면서 소규모 해커들과 협력을 맺어 일종의 ‘계열사’를 운영하고, 동시다발적인 대규모 랜섬웨어 공격을 이어가고 있다. SK쉴더스가 발표한 2023 상반기 보안 트렌드 보고서에 따르면 랜섬웨어 그룹 LockBit(록빗)이 사용자 수가 1억명에 달하는 프린터 관리 솔루션 ‘PaperCut’과 파일 전송 솔루션인 ‘GoAnywhere’를 통해 대규모 공격을 시도한 것을 확인할 수 있다.
랜섬웨어 그룹이 이러한 사례처럼 여러 기업에 대규모로 침입할 경우 그만큼의 침입 경로가 필요하다. 이때 IAB는 침입 경로를 제공하고 대가를 받는다. 랜섬웨어 그룹과 IAB가 상생할 수 있는 조건이 충족되는 것이다.
2021년 Conti(콘티)라는 랜섬웨어 그룹이 공격 시도를 위해 IAB 그룹인 ‘EXOTIC LILY(이그조틱 릴리)’에게 초기 액세스 권한을 구매한 사례가 있었다. 또한, 2023년 상반기 랜섬웨어 그룹 ‘Bl00dy’가 텔레그램을 통해 IAB를 공개적으로 모집하기도 했다. 그 이후, 미국의 대학과 교육 분야에서 지속적인 피해가 발생했다는 보고가 잇따르고 있다. 심지어 LockBit(록빗), BlackCat(블랙캣) 등의 대형 랜섬웨어 그룹에서도 IAB와의 협업을 통한 공격을 이어가고 있다.
이처럼 랜섬웨어 그룹은 효율적인 공격을 위해 분업 구조를 갖추고, IAB와의 협업을 통해 공격 빈도를 늘리고 있다. 점점 더 체계화되고 분업화되는 랜섬웨어 그룹에 대한 다각도의 대책이 필요한 시점이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 8.4.] 랜섬웨어 조직에 최초 접근 권한 판매하는 브로커 ‘IAB’ 활개](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
